本教程中,您将学习如何:
- 创建自定义工作簿
- 将查询添加到现有工作簿模板
先决条件
若要使用 Log Analytics 分析活动日志,需要以下角色和要求:
Azure Monitor 的相应角色:
- 监视读取者
- Log Analytics 读者
- 监视参与者
- Log Analytics 参与者
Microsoft Entra ID 的相应角色:
- 报告读取者
- 安全读取器
- 全球阅读器
- 安全管理员
如果尚未创建 Log Analytics 工作区,请完成 “配置 Log Analytics 工作区 ”教程。
创建自定义工作簿
除了使用 Kusto 查询语言(KQL)查询数据之外,还可以创建自定义工作簿以进一步分析和发出警报。 创建或更新工作簿的最低特权角色是 安全管理员 角色。
浏览到“标识”“监视和运行状况”>“工作簿”>。
在“快速入门”部分中,选择“空”选项。
在“添加”菜单中,选择“添加文本”。
在文本框中,输入
# Client apps used in the past week,然后选择“完成编辑”。
在文本窗口下方,打开“添加”菜单,然后选择“添加查询”。
在查询文本框中,输入:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed选择“运行查询”。
在工具栏中,从“可视化”菜单中选择“饼图”。
选择页面顶部的“完成编辑”
选择“保存”图标以保存你的工作簿。
在出现的对话框中,输入标题,选择资源组,然后选择“应用”。
将查询添加到工作簿模板
可以将 Kusto 查询添加到工作簿。 该示例基于一个查询,该查询展示已应用的条件访问策略下成功和失败登录的分布情况。 创建或更新工作簿的最低特权角色是 安全管理员 角色。
浏览到“标识”“监视和运行状况”>“工作簿”>。
在“条件访问”部分中,选择“条件访问见解和报表”。
在工具栏中,选择“编辑”。
在工具栏中,选择“编辑”按钮旁边的三个点,然后选择“添加”,“添加查询”。
在查询文本框中,输入:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus选择“运行查询”。
在“时间范围”菜单中,选择“在查询中设置”。
在“可视化效果”菜单中,选择“条形图”。
选择 “高级设置”。
在“图表标题”字段中,输入
Conditional Access status over the last 20 days并选择“完成编辑”。
条件访问成功和失败图表会显示租户的颜色编码快照。